WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Mise en place d'un IDS en utilisant Snort


par Hamzata Gueye
Miage de Kenitra (Maroc) - Diplome Européen dà¢â‚¬â„¢Etudes Supérieur en Informatique et Réseau 2011
  

précédent sommaire suivant

III.4. . Points forts et Points faibles des IDS

Nous allons pour finir cette présentation des IDS, résumer les points forts et les points faibles de ces équipements.

III.4.1. Points forts

III.4.1.1. Une surveillance continue et détaillée :

Dans cette optique, nous nous intéressons aux flux valides, mais aussi aux flux non valides qui transitent sur le réseau dont nous avons la responsabilité.

Comment savoir si les règles d'un firewall sont valides ?

Comment savoir le nombre d'attaques subies au cours de la dernière semaine ?

Comment différencier une surcharge normale du réseau d'une attaque par DoS ?

Les IDS vont permettre de répondre à ces questions. Ce sont des sondes en mode promiscuité. Ils peuvent donc analyser tout le trafic (dans le même domaine de collision), et relever des attaques, alors même qu'ils n'en sont pas la cible directe.

Bien sûr, nous évoquons ici le fonctionnement des NIDS. Les HIDS vont au contraire établir une surveillance unique du système sur lequel ils sont installés. De plus, toutes les alertes sont stockées soit dans un fichier, soit dans une base de données, ce qui permet de concevoir un historique, et d'établir des liens entre différentes attaques.

Ainsi, le responsable sécurité n'a pas besoin de surveiller le réseau en permanence pour être au courant de ce qui se passe. Une attaque de nuit ne passera plus inaperçue. Tous les IDS renvoient de nombreuses informations avec une alerte. Le type supposé d'attaque, la source, la destination, ... Tout cela permet une bonne compréhension d'un incident de sécurité, et en cas de faux-positif, de le détecter rapidement.

Un autre point important dans la sécurité : nous avons maintenant des outils de filtrage très intéressants qui nous permettent de faire du contrôle par protocole

(ICMP, TCP, UDP), par adresse IP, jusqu'à du suivi de connexion (couches 3 et 4).

Même si cela écarte la plupart des attaques, cela est insuffisant pour se protéger des attaques passant par des flux autorisés. C'est aussi assez marginal, car difficile à mettre en place, l'ouverture de l'informatique au grand public et l'augmentation de ce type de connaissances font qu'il faudra un jour savoir s'en protéger efficacement.

III.4.1.2. La modularité de l'architecture :

Il y a plusieurs solutions pour le positionnement de sondes réseaux. Il peut être intéressant de positionner les sondes pour étudier l'efficacité des protections mises en place.

Par exemple dans un réseau se cachant derrière un firewall, nous mettrons une sonde côté extérieur du firewall, et une autre côté intérieur du firewall. La première sonde permet de détecter les tentatives d'attaques dirigées contre le réseau surveillé.

La seconde sonde va remonter les attaques (préalablement détectées par la première sonde) qui ont réussi à passer le firewall. On peut ainsi suivre une attaque sur un réseau, voir si elle arrive jusqu'à sa victime, en suivant quel parcours a été emprunté.

Il est aussi intéressant de définir des périmètres de surveillance d'une sonde. Ce sera en général suivant un domaine de collision, ou sur des entrées uniques vers plusieurs domaines de collision (par exemple à l'entrée d'un commutateur).

Par cette méthode, nous réduisons le nombre de sondes, car il n'y a pas de doublons dans la surveillance d'une partie du réseau. Une alerte n'est remontée qu'une seule fois ; ce qui allège l'administration des IDS. Et pour finir, le fait de placer les sondes après les protections est plus logique, car le but premier des IDS est d'étudier les intrusions malgré les protections.

précédent sommaire suivant